Forwarded from ZLONOV security
Исследовательская компания Ipsos и страховой гигант AXA опросили почти 3,5 тыс. экспертов из 50 стран мира и по итогу опубликовали свой очередной ежегодный отчёт, посвященный глобальным рискам будущего (Future Risks Report).
Киберугрозы вернулись на второе место (правда, опрос проводился до недавнего обострения на ближнем Востоке), а в целом - киберугрозы с 2018 года ни разу ниже третьего места не опускались.
Риски, связанные с искусственным интеллектом и большими данными, попали в ТОП-10 всего в третий раз, но впервые - на четвёртое место.
Новость в Коммерсантъ: https://www.kommersant.ru/doc/6312385
Пресс-релиз [eng]: https://www.ipsos.com/en/axa-future-risks-report-2023-world-polycrisis
Сам отчёт [eng]: https://zlonov.ru/assets/reports/AXA_Future_Risks_Report_2023_English.pdf
Киберугрозы вернулись на второе место (правда, опрос проводился до недавнего обострения на ближнем Востоке), а в целом - киберугрозы с 2018 года ни разу ниже третьего места не опускались.
Риски, связанные с искусственным интеллектом и большими данными, попали в ТОП-10 всего в третий раз, но впервые - на четвёртое место.
Новость в Коммерсантъ: https://www.kommersant.ru/doc/6312385
Пресс-релиз [eng]: https://www.ipsos.com/en/axa-future-risks-report-2023-world-polycrisis
Сам отчёт [eng]: https://zlonov.ru/assets/reports/AXA_Future_Risks_Report_2023_English.pdf
Forwarded from AM Live (oleg IV)
📢 Внимание! Начинается онлайн-конференция "Перспективы и инновации российского рынка ИБ - Трансляция с AM Camp" 🚀
📅 Дата: 09 ноября 2023
⏰ Время: 11:00
🌐 Место: Онлайн
Обсудим с лучшими экспертами сценарии развития российского рынка кибербезопасности, основные ограничения и драйверы роста. В каких условиях возможно построить по-настоящему импортонезависимую национальную платформу кибербезопасности. И что от этого приобретут заказчики.
Подключайтесь »»
📅 Дата: 09 ноября 2023
⏰ Время: 11:00
🌐 Место: Онлайн
Обсудим с лучшими экспертами сценарии развития российского рынка кибербезопасности, основные ограничения и драйверы роста. В каких условиях возможно построить по-настоящему импортонезависимую национальную платформу кибербезопасности. И что от этого приобретут заказчики.
Подключайтесь »»
Forwarded from Нецифровая экономика (Dasha Sapozhkova)
GitHub опубликовал ежегодное исследование Octoverse, посвящённое самой платформе. Ислледование GitHub как крупнейшего сервиса для хостинга IT-проектов показывает вектор развития разработки по всему миру.
Главные тренды 2023:
▪️ Фокус на искусственном интеллекте. В 2023 году доля проектов на основе нейросетей и искусственного интеллекта увеличилась на 248%. 92% разработчиков используют ИИ на постоянной основе или иногда экспериментируют с ним.
▪️ Рост использования cloud native программ. Инфраструктура как код (IaC) становится популярнее. Она представляет собой автоматизацию процесса развертывания облачной инфраструктуры, где вместо ручной настройки используются специализированные инструменты. Разработчики всё чаще используют Dockerfiles, GitHub Actions, контейнерные технологии.
▪️ Рост числа новых разработчиков. Новички активно присоединяются к сообществу проектов с открытым исходным кодом. Также исследователи заметили рост числа приватных проектов на GitHub: +38% по сравнению с прошлым годом. Они составляют более 80% всей активности на GitHub.
Сейчас GitHub насчитывает 20,2 млн пользователей по всему миру. Ожидаемый лидер по числу разработчиков — США. В пятерке также Индия, Китай, Бразилия и Великобритания. Россия на шестом месте — мы опережаем Германию, Японию, Индонезию и Канаду.
Среди языков программирования самым популярным остаётся JavaScript, на втором месте — Python. На третье место вышел TypeScript, сместив на четвертое Java. Наибольший рост популярности (+40%) показал Rust, который используется для написания приложений, кода для высоконагруженных серверов и блокчейна.
Главные тренды 2023:
Сейчас GitHub насчитывает 20,2 млн пользователей по всему миру. Ожидаемый лидер по числу разработчиков — США. В пятерке также Индия, Китай, Бразилия и Великобритания. Россия на шестом месте — мы опережаем Германию, Японию, Индонезию и Канаду.
Среди языков программирования самым популярным остаётся JavaScript, на втором месте — Python. На третье место вышел TypeScript, сместив на четвертое Java. Наибольший рост популярности (+40%) показал Rust, который используется для написания приложений, кода для высоконагруженных серверов и блокчейна.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Есть там и раздел про безопасность.
"More developers are using automation to secure dependencies. In 2023, open source developers merged 60% more automated Dependabot pull requests for vulnerable packages than in 2022—which underscores the shared community’s dedication to open source and security. Developers across open source communities are fixing more vulnerable packages and addressing more vulnerabilities in their code thanks to free tools on GitHub, such as Dependabot, code scanning, and secret scanning."
"More developers are using automation to secure dependencies. In 2023, open source developers merged 60% more automated Dependabot pull requests for vulnerable packages than in 2022—which underscores the shared community’s dedication to open source and security. Developers across open source communities are fixing more vulnerable packages and addressing more vulnerabilities in their code thanks to free tools on GitHub, such as Dependabot, code scanning, and secret scanning."
Forwarded from RPPA PRO: Privacy • AI • Cybersecurity • IP
#podcast #НеДляГалочки
Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером😄
ОСТОРОЖНО! В этом выпуске много практических кейсов, конкретных рекомендаций и историй из жизни хакера.
💡 Apple, Яндекс
🎤 Ведущие выпуска:
🔵 Кристина Боровикова, со-основатель RPPA, Kept Privacy Team Lead
🔵 Елизавета Дмитриева, data privacy engineer в российском инхаусе
🆕 Помогали справиться с кошмаром:
🔵 Александр Герасимов — этичный хакер, эксперт в области тестирования на проникновение и анализа защищенности. Директор по информационной безопасности и сооснователь Awillix.
🔵 Елизавета Никулина — директор по маркетингу и PR в Awillix
Обсудили:
⬇️ Векторы атак
⬇️ Жизненный цикл утечек данных
⬇️ Последствия утечек для человека
⬇️ Реагирование на инциденты, а том числе PR-позиция компании
⬇️ Немного коснулись базовой инфобезной терминологии
Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером
ОСТОРОЖНО! В этом выпуске много практических кейсов, конкретных рекомендаций и историй из жизни хакера.
Обсудили:
Please open Telegram to view this post
VIEW IN TELEGRAM
Apple Podcasts
Утечки или ночной кошмар DPO. Откуда берутся, в чем причины. Разбираем кейсы с этичным хакером
Podcast Episode · Не для галочки - подкаст о приватности · 09/11/2023 · 1h 19m
Forwarded from AlexRedSec
Tidal Cyber совместно с Cyentia Institute проанализировали 22 общедоступных источника о тактиках и техниках, используемых злоумышленниками в кибератаках, и выпустили исследование "Multi-Source Analysis of Top MITRE ATT&CK Techniques"🧐
В исследовании много статистической информации о TTP's по различным критериям - частоте упоминания в отчетах, частоте использования злоумышленниками на основе данных из тех же отчетов, топы техник, нюансы и проблемы составления такой отчетности.
Из ключевых выводов:
➡️ О трети техник и 85% подтехник не сообщалось ни в одном из исследуемых источников.
➡️ В отчетах поставщиков mssp-услуг и в отчетах с разбором реальных кибератак, как правило, сообщают чаще и больше о различных техниках злоумышленников.
➡️ Техники T1078 и T1190 являются наиболее "популярными" для получения первоначального доступа.
➡️ В целом, наиболее часто используемыми техниками являются T1087, T1059 и T1033.
➡️ Среди мер митигации лидируют M1040, M1038, M1028.
В исследовании много статистической информации о TTP's по различным критериям - частоте упоминания в отчетах, частоте использования злоумышленниками на основе данных из тех же отчетов, топы техник, нюансы и проблемы составления такой отчетности.
Из ключевых выводов:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Порвали два трояна
Переход крупных ИТ-инфраструктур на архитектуру с нулевым доверием (zero trust) сопряжён не только с существенными инвестициями денег и сил, но и решением сотен технических и организационных проблем. Неожиданно детально свой процесс поэтапного перехода на zero trust описали в интернет-гиганте Baidu (китайский, гугло-русский, гугло-английский). У них проблема усугубляется гигантскими масштабами как офисной, так и основной сети, поэтому на первый план вышли вопросы высокой доступности и отказоустойчивости. Даже при том, что для начала зиротраст воплотили только на L7 и только в офисе, шлюзы должны справляться с запросами десятков тысяч одновременно подключённых сотрудников.
Существенные усилия были приложены к оптимизации пользовательского опыта, потому что неожиданные запросы и неполадки при подключении к системам, помноженные на число сотрудников, способны парализовать любой сервис-деск. Ну и наконец, проектной команде пришлось решать довольно интересную проблему — в сети функционируют многочисленные устаревшие бизнес-системы, у которых нет явного владельца.
Со всеми этими вводными, неудивительно, что компания разработала большинство компонентов самостоятельно, базируясь на популярных open source компонентах OpenResty, Redis и т.п. В тексте упомянуты также «коммерческие решения», но без какой-либо конкретики.
В целом, весьма поучительное чтение. Правда, машинные переводы оставляют желать лучшего, а важные для понимания иллюстрации потребуется переводить отдельно. Мы предупредили
@П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Два года назад MITRE была выпущена бета-версия онтологии ИБ D3FEND, которая позволяет смаппить защитные техники в техники нападения. И вот на днях, после двух лет тестирования и доработок, увидела свет финальная версия 1.0.
Все защитные меры разбиты на блоки и самый большой из них посвящен обнаружению (Detect). К другим блокам относятся усиление, изоляция, обман, восстановление, реагирование.
#soctech
Все защитные меры разбиты на блоки и самый большой из них посвящен обнаружению (Detect). К другим блокам относятся усиление, изоляция, обман, восстановление, реагирование.
#soctech
d3fend.mitre.org
D3FEND: Getting to 1.0
Thanks to steady and valuable input from the community on the beta version of D3FEND, we are now ready advance to the next step: creating a stable, extensible, and integration-friendly version of D3FEND: D3FEND 1.0.
Один примеров риска когда вы используете домен управляемый не национальным регистратором.
https://www.rbc.ru/technology_and_media/14/11/2023/6552fa4c9a79476284690b92
https://www.rbc.ru/technology_and_media/14/11/2023/6552fa4c9a79476284690b92
РБК
Швейцарская компания запретила авиации в России использовать домен .aero
Домен .aero, который администрирует швейцарская компания SITA, используют российские авиаперевозчики («Победа», «Азимут») и аэропорты (Шереметьево, Сочи). Им придется переехать на другие доменные
Forwarded from SecAtor
Несмотря на определенную долю скептизима к различным интеллектуальным премудростям, не можем не отметить достаточно неплохую попытку обобщить все доступные ИИ-инструменты в области инфосека.
В своем репозитории на github исследователь fr0gger представил различные сервисы на базе GPT, которые могут быть использованы как в защите, так и в наступательных целях.
Всего более 70 различных наименований. Есть достаточно интересные позиции.
В своем репозитории на github исследователь fr0gger представил различные сервисы на базе GPT, которые могут быть использованы как в защите, так и в наступательных целях.
Всего более 70 различных наименований. Есть достаточно интересные позиции.
GitHub
GitHub - fr0gger/Awesome-GPT-Agents: A curated list of GPT agents for cybersecurity
A curated list of GPT agents for cybersecurity. Contribute to fr0gger/Awesome-GPT-Agents development by creating an account on GitHub.
Forwarded from Пакет Безопасности
Безопасная солянка
Да-да, пост будет про кибербез, поэтому вдыхаем. На этой неделе я не стал собирать какую-то подборку полезных материалов по одной теме и решил вывалить в один пост просто всё, что накопилось.
Во-первых, вышло обновление рейтинга OWASP Mobile Top 10 за 2023 год. Это родственник обычного OWASP Top 10, который заточен именно под мобилки. Пояилось несколько новых пунктов, но какого-то открытия не случилось.
Во-вторых, я тут наткнулся на еще одно детище от OWASP (да, у него есть не только топы) – Code Review Guide. Штука интересная и будет хорошим подспорьем в DevSec со своими чеклистами и шаблонами, но есть один нюанс – этот гайд уже достаточно древний (2017 год), поэтому сильно на него уповать не стоит (но база там хорошая).
В-третьих, событий в мире ИБ происходит не так много, а интересных и того меньше. Поэтому по ним тоже немного пройдемся. Само собой, многие слышали про SOC-форум (с которым мы так и не запартнерились), который уже идёт. В этом году он стал чуть более примечательным, так как там уже второй раз подряд выступает МТС RED. И если год назад это был мини-стартап, который только начал свой путь в индустрии, то сегодня это полноценный игрок рынка со своими продуктами и решениями. Радует и то, что ребята продолжают расширяться внутри – судя по моим данным, их уже более 250 человек. Ну а про их планы на вхождение в ТОП-5 отечественного киберрынка, думаю, многие уже слышали.
В-четвертых, со мной тут поделились подкастом, о котором я раньше не слышал, поэтому делюсь теперь с вами. Подкаст посвящен приватности, кибербезопасности и всему, что с этим связано. Лично мне зашло, так что вэлкам – послушать можно тут или тут.
P.S. Скоро расскажу вам про еще одно ИБшное событие, в котором сам буду принимать участие.
Ну всё, пост закончен, выдыхаем.
#Полезное
Твой Пакет Безопасности
Да-да, пост будет про кибербез, поэтому вдыхаем. На этой неделе я не стал собирать какую-то подборку полезных материалов по одной теме и решил вывалить в один пост просто всё, что накопилось.
Во-первых, вышло обновление рейтинга OWASP Mobile Top 10 за 2023 год. Это родственник обычного OWASP Top 10, который заточен именно под мобилки. Пояилось несколько новых пунктов, но какого-то открытия не случилось.
Во-вторых, я тут наткнулся на еще одно детище от OWASP (да, у него есть не только топы) – Code Review Guide. Штука интересная и будет хорошим подспорьем в DevSec со своими чеклистами и шаблонами, но есть один нюанс – этот гайд уже достаточно древний (2017 год), поэтому сильно на него уповать не стоит (но база там хорошая).
В-третьих, событий в мире ИБ происходит не так много, а интересных и того меньше. Поэтому по ним тоже немного пройдемся. Само собой, многие слышали про SOC-форум (с которым мы так и не запартнерились), который уже идёт. В этом году он стал чуть более примечательным, так как там уже второй раз подряд выступает МТС RED. И если год назад это был мини-стартап, который только начал свой путь в индустрии, то сегодня это полноценный игрок рынка со своими продуктами и решениями. Радует и то, что ребята продолжают расширяться внутри – судя по моим данным, их уже более 250 человек. Ну а про их планы на вхождение в ТОП-5 отечественного киберрынка, думаю, многие уже слышали.
В-четвертых, со мной тут поделились подкастом, о котором я раньше не слышал, поэтому делюсь теперь с вами. Подкаст посвящен приватности, кибербезопасности и всему, что с этим связано. Лично мне зашло, так что вэлкам – послушать можно тут или тут.
P.S. Скоро расскажу вам про еще одно ИБшное событие, в котором сам буду принимать участие.
Ну всё, пост закончен, выдыхаем.
#Полезное
Твой Пакет Безопасности
Forwarded from Порвали два трояна
Начинаем подводить итоги 2023 года с анализа целевых атак и прогнозов, на чём сосредоточатся APT в будущем году. Все предсказания (а заодно анализ, как сбылись прошлогодние) собраны в этом посте, а здесь приведём самые интересные тезисы:
Другие прогнозы, в том числе о злонамеренном использовании AI/ML, динамике хакинга по найму, эксплойтах для мобильных и носимых устройств и роли геополитических конфликтов читайте на Securelist.
#APT #прогноз @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4